Data-quality - Qualifiez votre liste d'adresses email et améliorez votre délivrabilité.
Blog

Guide authentification email : SPF, DKIM, DMARC


SPF, DKIM, DMARC. Ces trois acronymes reviennent sans cesse dès qu’on parle de délivrabilité email. Pour beaucoup de professionnels du marketing, ils restent pourtant obscurs. On sait qu’il faut les configurer, sans vraiment comprendre ce qu’ils font ni pourquoi ils sont devenus indispensables.

Ce guide vous explique simplement le rôle de chaque protocole, comment ils fonctionnent ensemble, et comment les mettre en place sans être un expert technique.

Pourquoi l’authentification email est devenue incontournable

Pendant longtemps, l’authentification email était recommandée mais facultative. Ce n’est plus le cas. Février 2024 a marqué un tournant majeur. Google et Yahoo ont commencé à exiger des expéditeurs de plus de 5 000 emails par jour qu’ils implémentent SPF, DKIM et DMARC. En mai 2025, Microsoft a suivi avec des exigences similaires pour Outlook.com, Hotmail et Live.com.

Les résultats sont mesurables. Selon Google, 265 milliards d’emails non authentifiés ont été bloqués en 2024. C’est une réduction de 65% des messages sans authentification. Pendant les fêtes de fin d’année 2024, les utilisateurs Gmail ont rencontré 35% moins de tentatives de phishing.

L’adoption de DMARC a suivi cette évolution. Selon le rapport State of Deliverability de Mailgun, le taux d’adoption est passé de 43% en 2023 à près de 54% en 2024. Une progression de 11 points en un an, directement liée aux nouvelles exigences des fournisseurs de messagerie.

Pour les expéditeurs, l’enjeu est simple. Sans authentification, vos emails risquent d’être bloqués ou envoyés en spam. Avec une authentification correcte, vous avez 2,7 fois plus de chances d’atteindre la boîte de réception selon The Digital Bloom. Le taux de placement passe de 45% sans authentification à plus de 83% avec une configuration complète.

SPF : définir qui a le droit d’envoyer en votre nom

SPF, pour Sender Policy Framework, répond à une question fondamentale : qui est autorisé à envoyer des emails depuis votre domaine ?

Imaginez un annuaire public qui liste tous les employés d’une entreprise. Quand quelqu’un prétend travailler pour cette entreprise, on peut vérifier son nom dans l’annuaire. SPF fonctionne sur le même principe. C’est une liste d’adresses IP autorisées à envoyer des emails au nom de votre domaine.

Techniquement, SPF se présente sous la forme d’un enregistrement DNS de type TXT. Cet enregistrement contient la liste des serveurs autorisés. Quand un serveur de messagerie reçoit un email prétendant venir de votre domaine, il consulte cet enregistrement et vérifie si l’IP de l’expéditeur y figure.

Un exemple d’enregistrement SPF ressemble à ceci :

v=spf1 include:_spf.google.com include:sendgrid.net -all

Cette ligne indique que les serveurs de Google et SendGrid sont autorisés à envoyer des emails pour ce domaine. Le -all final signifie que tout autre serveur doit être rejeté.

SPF a ses limites. Il vérifie l’adresse technique d’envoi (le « Return-Path »), pas l’adresse visible par le destinataire (le « From »). Un fraudeur peut donc envoyer un email qui passe le contrôle SPF tout en affichant une fausse adresse d’expéditeur. C’est pour cette raison que SPF seul ne suffit pas.

DKIM : la signature numérique de vos emails

DKIM, pour DomainKeys Identified Mail, ajoute une couche de sécurité supplémentaire. Il ne se contente pas de vérifier qui envoie, il garantit aussi que le message n’a pas été modifié en transit.

Le principe repose sur un système de clés cryptographiques. Deux clés sont générées : une clé privée, gardée secrète sur votre serveur d’envoi, et une clé publique, publiée dans vos enregistrements DNS.

Quand vous envoyez un email, votre serveur utilise la clé privée pour créer une signature numérique. Cette signature est intégrée dans l’en-tête du message. Elle est calculée à partir du contenu de l’email, un peu comme une empreinte digitale unique.

Quand le serveur destinataire reçoit le message, il récupère votre clé publique dans les DNS et l’utilise pour vérifier la signature. Si la signature correspond, le message est authentique et intact. Si quelqu’un a modifié le contenu en route, la vérification échoue.

DKIM protège contre plusieurs types d’attaques. Il empêche la modification du contenu des emails légitimes. Il rend plus difficile l’usurpation d’identité. Et il contribue à établir la réputation de votre domaine auprès des fournisseurs de messagerie.

La configuration de DKIM demande de générer une paire de clés et d’ajouter un enregistrement DNS. La plupart des plateformes d’emailing fournissent ces clés et les instructions pour les configurer. L’opération prend généralement entre 30 et 60 minutes.

DMARC : le chef d’orchestre de l’authentification

DMARC, pour Domain-based Message Authentication, Reporting and Conformance, est le protocole qui fait le lien entre SPF et DKIM. Il définit ce qui doit se passer quand un email échoue aux vérifications d’authentification.

Sans DMARC, chaque fournisseur de messagerie décide seul de la marche à suivre face à un email suspect. Avec DMARC, c’est vous qui définissez la politique à appliquer. Trois options sont possibles.

La politique « none » (p=none) est un mode d’observation. Les emails non authentifiés sont délivrés normalement, mais vous recevez des rapports sur les résultats. C’est le point de départ recommandé pour comprendre ce qui se passe avec vos envois.

La politique « quarantine » (p=quarantine) demande aux serveurs de traiter les emails suspects avec méfiance, généralement en les envoyant dans le dossier spam.

La politique « reject » (p=reject) est la plus stricte. Les emails qui échouent à l’authentification sont purement et simplement rejetés. Ils n’arrivent jamais, même pas en spam.

DMARC introduit aussi la notion d’alignement. Pour qu’un email passe la vérification DMARC, le domaine visible dans l’adresse « From » doit correspondre au domaine vérifié par SPF ou DKIM. Cet alignement empêche un fraudeur d’utiliser un domaine légitime pour SPF tout en affichant une autre adresse à l’utilisateur.

Les rapports DMARC constituent un autre avantage. Ils vous informent sur tous les emails envoyés depuis votre domaine, qu’ils soient légitimes ou frauduleux. Ces rapports permettent d’identifier des problèmes de configuration ou des tentatives d’usurpation.

Mettre en place l’authentification pas à pas

La configuration de l’authentification email peut sembler intimidante. En réalité, elle se déroule en quelques étapes bien définies, réparties sur plusieurs semaines pour une approche prudente.

Commencez par SPF. Identifiez tous les services qui envoient des emails en votre nom : votre plateforme d’emailing, votre CRM, votre outil de support client, votre serveur web. Créez un enregistrement SPF qui inclut tous ces expéditeurs légitimes. Comptez 30 à 60 minutes pour cette étape.

Passez ensuite à DKIM. Chaque plateforme d’envoi vous fournira une clé publique à ajouter dans vos DNS. Si vous utilisez plusieurs services d’envoi, vous aurez plusieurs enregistrements DKIM, chacun avec un sélecteur différent. Prévoyez 30 à 60 minutes par service.

Configurez enfin DMARC. Commencez toujours par une politique « none » pour observer sans bloquer. Ajoutez une adresse email pour recevoir les rapports. Laissez tourner pendant plusieurs semaines pour collecter des données.

Analysez les rapports DMARC. Identifiez les sources d’emails légitimes qui échouent à l’authentification. Corrigez les problèmes de configuration. Une fois que tout est en ordre, passez progressivement à « quarantine » puis à « reject ».

Les erreurs courantes à éviter : oublier un service d’envoi dans l’enregistrement SPF, ne pas mettre à jour les DNS après un changement de prestataire, passer trop vite à une politique stricte sans avoir analysé les rapports.

Le temps total ? Comptez 2 à 4 heures de travail technique, réparties sur 6 à 8 semaines pour une montée en puissance progressive et sécurisée.

Et après ? Maintenir et surveiller son authentification

L’authentification email n’est pas un projet qu’on termine et qu’on oublie. Elle demande une surveillance continue.

Les clés DKIM doivent être renouvelées régulièrement. Beaucoup d’organisations configurent DKIM une fois et n’y touchent plus pendant des années. Des clés de 2015 sont encore actives en 2025. Une rotation tous les 6 à 12 mois est recommandée pour maintenir un niveau de sécurité optimal.

Les rapports DMARC méritent une attention régulière. Ils révèlent les tentatives d’usurpation de votre domaine. Ils signalent aussi les problèmes de configuration qui pourraient affecter vos envois légitimes. Des outils spécialisés permettent de les analyser automatiquement.

Quand vous changez de plateforme d’emailing ou ajoutez un nouveau service qui envoie des emails, pensez à mettre à jour vos enregistrements SPF et à configurer DKIM pour le nouveau service. Un oubli peut entraîner des problèmes de délivrabilité immédiats.

Pour aller plus loin, BIMI (Brand Indicators for Message Identification) permet d’afficher votre logo dans les boîtes de réception compatibles. Ce protocole optionnel nécessite une authentification DMARC fonctionnelle avec une politique « quarantine » ou « reject ». C’est un signal de confiance visuel pour vos destinataires.

L’authentification ne fait pas tout. Elle doit s’accompagner d’une base de contacts propre. Valider vos adresses email régulièrement reste indispensable pour maintenir une bonne réputation d’expéditeur et rester dans la boîte de réception de vos destinataires.

Questions fréquentes sur l’authentification email

SPF, DKIM ET DMARC SONT-ILS TOUS OBLIGATOIRES ?

Pour les expéditeurs de plus de 5 000 emails par jour vers Gmail, Yahoo ou Outlook, oui. Pour les volumes plus faibles, SPF ou DKIM suffit techniquement, mais configurer les trois protocoles est fortement recommandé pour maximiser votre délivrabilité.

COMBIEN DE TEMPS PREND LA CONFIGURATION COMPLÈTE ?

Comptez 2 à 4 heures de travail technique au total. SPF et DKIM demandent chacun 30 à 60 minutes. La montée en puissance de DMARC s’étale sur 6 à 8 semaines pour une approche progressive et sécurisée.

QUE SE PASSE-T-IL SI JE NE CONFIGURE PAS L’AUTHENTIFICATION ?

Vos emails risquent d’être bloqués ou envoyés en spam par les principaux fournisseurs de messagerie. Depuis 2024, Gmail et Yahoo rejettent les messages non authentifiés des expéditeurs en masse. Microsoft fait de même depuis mai 2025.

DOIS-JE COMMENCER PAR SPF, DKIM OU DMARC ?

L’ordre recommandé est SPF, puis DKIM, puis DMARC. Les deux premiers peuvent être configurés en parallèle. DMARC vient ensuite car il s’appuie sur les résultats des deux autres protocoles.

COMMENT SAVOIR SI MON AUTHENTIFICATION EST CORRECTE ?

Des outils en ligne comme MXToolbox ou les vérificateurs intégrés aux plateformes d’emailing permettent de tester vos enregistrements. Les rapports DMARC vous informent également sur le taux de réussite de vos authentifications.

POURQUOI MES EMAILS PASSENT-ILS SPF MAIS ÉCHOUENT À DMARC ?

C’est souvent un problème d’alignement. DMARC exige que le domaine vérifié par SPF ou DKIM corresponde au domaine visible dans l’adresse « From ». Si ces domaines diffèrent, l’authentification DMARC échoue même si SPF réussit.

FAUT-IL CONFIGURER L’AUTHENTIFICATION POUR CHAQUE SOUS-DOMAINE ?

Oui. Les enregistrements SPF et DKIM sont spécifiques à chaque domaine et sous-domaine qui envoie des emails. DMARC peut s’appliquer au domaine principal et couvrir les sous-domaines, mais une configuration explicite est préférable.

Back To Top